我想把这个头添加到我的nginx服务器中
add_header X-Frame-Options "SAMEORIGIN";
然而,我希望人们仍然能够使用引用我的网站的<iframe>。
就像youtube为视频提供了一个嵌入的url一样,我对我网站的特定部分也这样做。
"SAMEORIGIN"是正确的值吗?还是X-Frame-Options标头与我尝试实现的功能冲突?
X-Frame-Options有三种可能的指令:
X-Frame-Options: deny页面无法在框架中显示X-Frame-Options: sameorigin页面只能显示在与页面本身相同原点(相同域(的框架中X-Frame-Options: allow-from https://example.com/页面只能显示在指定原点的框架中
当主机(人员(尝试在<iframe>中加载您的网站时,如果将其设置为sameorigin,则浏览器会给您一个错误。试试这个并打开你的开发控制台:
<iframe src="https://www.google.com"/>简而言之,如果你想让其他人(域(将你的网站加载到<iframe>中,那么sameorigin当然是错误的选择。如果你想得到你想要的东西,请尝试阅读以下内容:
克服";由X-Frame-Options禁止的显示";